网络安全意识成熟度阶段，你的企业在哪个发展阶段？

在数字化时代，网络安全已经成为每个企业和个人必须面对的挑战。近日，SANS Institute 发布了其年度《2024年SANS安全意识报告》，为企业提供了一个全面的视角，以理解和改进企业对网络安全威胁的防御措施。

此版安全意识报告有来自全球70多个国家的1000多名安全意识从业者参与。

 2011年，通过 200 多名意识官员的协调努力，建立了安全意识成熟度模型，使组织能够确定其安全意识计划的当前成熟度水平，并确定改进路径。

共有五个层次，依次递进：不存在安全意识计划——以合规为中心——提高认识和改变行为——长期维持和文化变革——战略指标框架

调研发现2024年的情况中，处于三四阶段的组织相对较多，已经建成战略指标框架的组织仍然相对较少。

2024年最受关注的三大人为风险：社会工程攻击、密码/身份认证、人为检测/报告

如果安全意识计划最终是关于管理人为风险的，那么2024年大家最关心哪些人为风险呢？89%的人特别担心社会工程学攻击（如网络钓鱼、短信诈骗和语音诈骗），这是组织最关注的风险。随着人工智能（AI）的发展，定制化的社会工程学攻击变得更加容易，这对组织构成了新的挑战；其次是身份验证问题，如何验证和管理自己的密码；第三则是人为检测报告可疑事件的风险，这一点则跟企业安全文化密切相关。

2024年安全意识发展的头号挑战：缺乏必要的时间和人力

意识到相关的风险后，建立有效安全意识计划中也面临一些挑战。今年调查发现头号挑战是缺乏时间和人力，41%的组织缺少时间，37%的组织缺少专业人员。从业者有太多事情要做，而资源太少，缺乏专业的安全意识团队成为制约安全意识发展的重要难题。

安全意识团队的规模：至少需要 1.8 FTE的共同努力才能有效地改变安全意识行为

*FTE是指将75%或更多时间用于安全意识的个人

今年的调查发现，安全意识团队的规模与计划成熟度之间存在很强的相关性:安全意识团队越大，安全意识计划成熟度水平就越高。

经过调研发现，为了产生影响，大多数项目至少需要1.8 FTE的共同努力才能有效地改变行为，这意味着至少有1.8人将 75% 以上的时间用于该项目。平均而言，最成熟的安全意识项目至少需要4名全职员工专门负责或帮助管理该项目。在过去的五年中，不变的调研结果是：致力于或致力于安全项目的人越多，这个项目就越成熟。

网络安全意识不仅仅是遵守规定，更是一种文化。通过投资于人，组织可以有效地管理风险，并建立起一种强大的安全文化。《2024年SANS安全意识报告》为企业提供了宝贵的洞见和工具，网络安全意识教育仍在路上。

参考文献：SANS 2024 Security Awareness Report——Embeddinga Strong Security Culture

若想获得更多报告详细内容，请在公众号回复“SANS2024”获取报告全文。

文章来源：公众号“HumanRisk”